技術領域

本發明屬于網絡安全領域，涉及一種信息監測方法，特別是基于BitTorrent的被動式載荷信息監測方法，用于對基于BitTorrent的P2P網絡特定信息傳播及其受眾進行監測和分析。?

背景技術

文獻“Ho?Gyun?Lee，Taek?yong?Nam，Jong?Soo?Jang.The?Method?of?P2P?Traffic?Detectingfor?P2P?Harmful?Contents?Prevention[C].ICACT2005.Feb?21-23，2005，Phoenix?Park，Korea”公開了一種基于內容恢復的P2P文件共享系統特定內容監控方法，該方法首先對P2P數據流進行識別，將P2P數據流按傳輸內容的類型分為文本、圖像和視頻數據。對于文本類型數據內容采用字典比較的方法，將文本中攜帶的關鍵字與事先建立好的不良信息字典庫進行比較，以實現對不良內容的監測。對于圖像內容，文中只提及對色情內容的監測，通過圖像處理的方法檢測文件中“皮膚區域”所占整個圖像的比例，超過一定的閾值則認為該圖像攜帶色情內容。對于視頻文件，采用兩種監測方法：一是從視頻文件中獲取關鍵幀，對關鍵幀的內容進行判斷；二是恢復視頻文件的某一片段，根據該片段的內容判斷視頻文件是否存在非法內容。該方案的缺點在于系統架構過于復雜，缺乏統一的檢測機制；數據報文內容恢復技術難度大，無法恢復加密的數據內容；圖像和視頻的檢測方法只能采取事后分析，需要使用復雜的圖像處理技術，計算機處理時間長，實時性差，檢測準確率較低。由于基于流量內容的監測模型需要對P2P軟件所傳輸的流量內容進行恢復性識別，卻無法恢復和監控被加密的P2P信息內容。?

發明內容

為了克服現有技術對BitTorrent特定信息傳播及其受眾進行監測時和分析時，系統架構過于復雜，缺乏統一的檢測機制，而計算機處理時間長的不足，本發明提供一種基于BitTorrent的被動式載荷信息監測方法，根據已經存在的文件生成“文件樣本”信息，其次通過對截獲的“載荷信息”與“文件樣本”的Hash計算和模式匹配，判斷當前傳輸的“載荷信息”是否屬于被監測的特定信息，這種方法能夠有效的對BitTorrent網絡中傳輸的所有已存在“文件樣本”的文件進行監測，可以減少計算機處理時間。?

本發明解決其技術問題所采用的技術方案：一種基于BitTorrent的被動式載荷信息監測方法，其特點是包括以下步驟：?

(a)使用BitTorrent軟件將所需要的文件下載到本地硬盤上，根據已經存在的文件信息生成“文件標本”信息，對“文件標本”信息進行Hash處理，并且Hash處理后的信息長度?必須相同，將Hash處理后的信息進行拼接而形成的數據信息；?

(b)對“載荷信息”進行Hash加密處理，用經過Hash處理的“文件標本”與經過加密處理的“載荷信息”進行比較；?

(c)采用字符串匹配方法進行“載荷信息”與“文件標本”的比較判斷，“載荷信息”加密處理結果與“文件標本”中第n*20+1到(n+1)*20位進行比較，式中n為0，1，2，...，Maxn，?

當判斷出某個“載荷信息”與“文件標本”匹配時，記錄當前“載荷信息”所在TCP鏈接信息、“文件標本”編號以及“載荷信息”符合數量，再繼續進行后續的“載荷信息”比較；當某個TCP鏈接在一個“文件標本”上符合的“載荷信息”數量達到系統中所設置的閾值時，當前TCP鏈接所傳輸的“載荷信息”屬于被監測的特定文件；?

(d)根據TCP鏈接中的源IP地址、源端口和目的IP地址、目的端口，獲得受眾信息的訪問地址信息以及文件傳輸方向，再根據“載荷信息”所屬的“文件標本”，得到當前P2P鏈接所傳輸的文件信息，提取當前的系統時間作為文件傳輸時間，將得到的受眾信息和文件傳輸信息保存到數據庫中，所保存的數據包括：源IP地址、源端口、目的IP地址、目的端口、所傳輸的文件名稱、文件Hash值、傳輸時間、“載荷信息”匹配數量、記錄人員，記錄時間，對于重復的數據只保留一條，以標準的數據格式存入受眾數據庫。?